Вибір редакції

Как работает Symantec Endpoint Detection and Response (EDR)

21 декабря, 2017. 01:12
Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Основное изменение в версии 14.1— улучшение интеграции Endpoint Detection and Response с модулем анализа и поиска угроз Advanced Threat Protection, который также был обновлен до версии 3.0. В статье рассмотрим подробнее эту технологию.

Компания Symantec представила рынку новую версию своего решения для защиты конечных точек — Symantec Endpoint Protection 14.1. Весной этого года мы публиковали подробный обзор четырнадцатой версии продукта. Основное изменение в версии 14.1 — новая версия Endpoint Detection and Response (EDR), модуля для анализа и поиска угроз, работающего совместно с Symantec Advanced Threat Protection (ATP:Endpoint) версии 3.0. Endpoint Detection and Response не является самостоятельным продуктом, это сервис, который аккумулирует информацию о работе компьютера и передает полученные данные в ATP для дальнейшего анализа, поиска аномалий и таргетированных атак.

С помощью EDR значительно ускоряется получение информации об угрозах и повышается общий уровень защищенности сети. EDR собирает данные по различным параметрам — информацию о доступе к файлам, запуске и завершении процессов, действиях с реестром Windows, сетевых подключениях, системных событиях и другие данные. Собранная информация отправляется в ATP для дальнейшего анализа. Отличительной особенностью EDR является тесная интеграция с другими защитными механизмами Symantec Endpoint Protection и технология «единого агента» для конечных точек, объединяющая все защитные механизмы в одном агенте защиты.

ATP:Endpoint — это виртуальный или физический аплайнс, работающий внутри периметра компании, который получает информацию о событиях из базы данных сервера управления SEPM и от модуля EDR агентов SEP. Он выявляет угрозы и приоритизирует инциденты путем анализа и корреляции полученных данных, позволяет оперативно реагировать на обнаруженные угрозы в один клик. ATP:Endpoint позволяет искать индикаторы компрометации (IoC) на конечных точках, искать и загружать файлы на конечных точках для последующего анализа в песочнице. В качестве песочницы может быть использован облачный сервис Cynic, который входит в ATP, или локальная песочница Symantec Content Analysis System версии 2.2 и выше с опцией Malware Analysis, которая лицензируется отдельно от ATP.

Данные модуля ATP:Endpoint коррелируются вместе с данными остальных модулей ATP — ATP:Network и ATP:Email. Модуль ATP:Network может быть объединен вместе c ATP:Endpoint в одном аплайнсе. Модуль ATP:Email является облачным сервисом, интегрированным с облачным сервисом защиты почты Symantec Email Security.cloud. Путем совмещения данных об активности на конечных точках, в сети и электронной почте достигается высокий уровень выявления различных угроз на самых ранних стадиях.

ЧИТАТЬ МАТЕРИАЛ
Комментарии: